Управление доступом в сеть –
развитие архитектуры Cisco TrustSec

Владимир Илибман

Менеджер по продуктам безопасности
Окт...
Тема выступления
На примере одной организации рассмотрим:
• Как эволюционируют требования к управлению
доступом в сеть и а...
Архитектура
управления доступом в сеть
Trusted Security (TrustSec)
Что же такое TrustSec ?
 Можете рассматривать TrustSec как управление доступа в сеть
нового поколения “Next-Generation NA...
Архитектура Cisco TrustSec. Сервисы
ПОЛИТИКА БЕЗОПАСНОСТИ
Идентификация и Аутентификация

“Кто” и “Что”
находится в моей
с...
Контроль доступа TrustSec
Основные компоненты
Идентификация и
управление
сервисами доступа

Применение
политик

Клиент

BR...
И так начинаем наше знакомство…
Компания Гудвей-X
Бизнес-кейс
Компания Гудвей-X  Ритейлер,
 Банк,
 Промышленный холдинг,
 Агрохолдинг,
 Страховая ком...
В компании Гудвей-X назрела проблема
Бизнес-кейс

Внешний аудит показал, что в компании не
существует контролей для ограни...
Настройка по-умолчанию с 802.1X
До аутентификации

 Нет видимости (пока)
 Жесткий контроль доступа
One Physical Port ->T...
Настройка по-умолчанию с 802.1X
После аутентификации

 Пользователь/Устройство известны
 Доступ только для MAC-адреса
ус...
Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я протестировал
дома конфигурацию,
все выглядит
отличн...
Чего не хватало Айку?
Какие уроки мы извлекли?

 Некорректно внедренный 802.1x – это система контроля
предотвращения дост...
Режим мониторинга
Процесс, не просто режим.
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутент...
Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевы...
Чего не хватало Айку?
Какие уроки мы извлекли?

 Отсутствие отчетности со стороны
супликанта
- Когда все в порядке – поль...
Чего не хватало Айку?
Какие уроки мы извлекли?
 Отсутствие видимости на Radius сервере - ACS 4.x

BRKSEC-2022

© 2011 Cis...
Чего не хватало Айку?
Какие уроки мы извлекли
 Решение: ACS VIEW  Identity Services Engine (ISE)

BRKSEC-2022

© 2011 Ci...
Чего не хватало Айку? Детализация удачных и неудачных попыток доступа в Cisco ISE

BRKSEC-2022

© 2011 Cisco and/or its af...
Чего нам не хватало?
Детальный вид активных сессий и наложенных политик в Cisco ISE

BRKSEC-2022

© 2011 Cisco and/or its ...
Чего не хватало Айку?
Какие уроки мы извлекли?
 Айк забыл об устройствах без поддержки 802.1x
- Принтеры, IP Телефоны, Ка...
Бизнес кейс продолжает изменяться
 Требования:

1.

Гудвей-X должен быть уверен в том, что только сотрудники
Ритейлер-Х п...
Решение есть !!!
Профилирование
Профилирование
Видимость

PCs

Non-PCs
UPS Phone Printer AP

Идентификация типа устройств и добавление их в список MAB.
Пр...
Как мы классифицируем устройство?

Технология профилирования
 Профилирование на ISE использует аналоги сигнатуры

 Запро...
Политики профилирования

Is the MAC
Address from
Apple

DHCP:hostname
CONTAINS iPad

Profile Library

Я вполне
уверен что
...
Распределенный сбор данных с
централизованным анализом
Сенсор устройств
• Профилирование, основанное на CDP/LLDP, DHCP, HT...
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним
паролем. Это небезопасно”
Айк
“Для каждого контрактника в ...
Требования гостевых пользователей

WLC
Wireless
APs

Internet
LAN

Айк хочет унифицировать подключения
гостей и контрактни...
Cisco ISE

Компоненты полного жизненного цикла гостя
Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
У...
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
атрибутов
Гостевые...
Разные гостевые роли
Когда требуются разные пользовательские роли
Контрактник

Гость
• Только интернет доступ
• Ограниченн...
Полный аудит гостевого жизненного цикла

Presentation_ID

© 2011 Cisco and/or its affiliates. All rights reserved.

Cisco ...
Эволюция бизнес кейса:
B.Y.O.D.

“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему досту...
Требования к BYOD
Бизнес:
• Подключите мой
планшет и дайте
доступ к Facebook
бизнес-приложениям

Зак (Безопасность)
•Как о...
Что предлагает ISE для управления
персональными устройствами
Автоматическая
настройка множества
типов устройств:

Занесени...
Подключил в гостевую сеть и ввел доменный логин и пароль

Presentation_ID

© 2011 Cisco and/or its affiliates. All rights ...
Presentation_ID

© 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Public

38
Presentation_ID

© 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Public

39
Presentation_ID

© 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Public

40
Для администраторов и безопасности IT

гибкие настройки кому и и какие устройства можно
подключать
OS

Presentation_ID

Us...
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть...
УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)

СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE)
Контроль
использования
сетевых ресурсов
Классификация/
Профилиров...
MDM
Manager

ISE

Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регис...
MDM проверка соответствия
 Соответствие на основании:
-

General Compliant or ! Compliant status
OR

-

Парольная защита ...
 Администратор / пользователь
может инициировать удаленные
действия на устройстве через
MDM сервер (пример: удаленно
стер...
Эволюция бизнес кейса:

Метки безопасности

После модернизации сети поменялись IPадреса. Можно как строить политику
безопа...
Применение SGT и SGACL
Security
Group
Tag

SGACL
SG

1. Когда пользователь/устройство заходит в сеть ему
назначается метка...
Передача меток по сети

For Your
Reference

SXP IP Address 10.1.204.126 = SGT 5

ISE
RADIUS (Access Request)
EAPOL (dot1x)...
Identity-Based Firewall следующего поколения
Контроль доступа на основе группы безопасности для ASA

Destination
Tags

Sou...
Переходим к реальному кейсу

Создаем систему из всех этих технологий
TrustSec собирает все воедино

TrustSec

BYOD
SGT
NAC

Профилирование

BRKSEC-2022

MDM

MacSec

© 2011 Cisco and/or its a...
Что же такое Identity Services Engine?

ISE это больше чем просто RADIUS

ISE

BRKSEC-2022

© 2011 Cisco and/or its affili...
Что же такое Identity Services Engine?

ISE это больше чем просто RADIUS

ISE

BRKSEC-2022

© 2011 Cisco and/or its affili...
Вопросы?

Канал Cisco Russia & CIS на Youtube

Канал TrustSec на Cisco.com

http://www.youtube.com/playlist?list=PL59B700E...
Спасибо !!

Thank you.

BRKSEC-2022

© 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Public

56
Upcoming SlideShare
Loading in …5
×

Управление доступом в сеть – развитие архитектуры Cisco TrustSec

1,227 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,227
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
35
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Управление доступом в сеть – развитие архитектуры Cisco TrustSec

  1. 1. Управление доступом в сеть – развитие архитектуры Cisco TrustSec Владимир Илибман Менеджер по продуктам безопасности Октябрь 2013
  2. 2. Тема выступления На примере одной организации рассмотрим: • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
  3. 3. Архитектура управления доступом в сеть Trusted Security (TrustSec)
  4. 4. Что же такое TrustSec ?  Можете рассматривать TrustSec как управление доступа в сеть нового поколения “Next-Generation NAC”  TrustSec это системный подход к контролю доступа, который объединяет: - IEEE 802.1X (Dot1x) - Технологии профилирования - Гостевые сервисы - Метки безопасности (Secure Group ) - Канальное шифрование MACSec (802.1AE) - Network Admission Control BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
  5. 5. Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация “Кто” и “Что” находится в моей сети? 802.1X, Веб-Аутентификация, MAC-адреса, Профилирование Авторизация и Контроль доступа VLAN DACL Security Group Access Identity Firewall Целостность данных и конфиденциальность “Куда” cмогут иметь доступ пользователи/уст ройства? Защищены ли сетевые коммуникации? MACSec (802.1AE) BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
  6. 6. Контроль доступа TrustSec Основные компоненты Идентификация и управление сервисами доступа Применение политик Клиент BRKSEC-2022 Identity Services Engine (ISE) Коммутаторы WiFI AnyConnect или встроенный в ОС клиент 802.1x © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Маршрутизаторы NAC агент Межсетевые экраны Web-агент или браузер 6
  7. 7. И так начинаем наше знакомство…
  8. 8. Компания Гудвей-X Бизнес-кейс Компания Гудвей-X  Ритейлер,  Банк,  Промышленный холдинг,  Агрохолдинг,  Страховая компания. Зак – Менеджер по информационной безопасности BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Айк – IT-менеджер отвечает за работу сети Cisco Public 8
  9. 9. В компании Гудвей-X назрела проблема Бизнес-кейс Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри. Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Описание задач для Айка: 1. Необходимо журналировать подключения в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств. Решение: Система контроля доступа 802.1X BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
  10. 10. Настройка по-умолчанию с 802.1X До аутентификации  Нет видимости (пока)  Жесткий контроль доступа One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) ? ? USER Весь трафик кроме служебного 802.1x блокируется ! BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
  11. 11. Настройка по-умолчанию с 802.1X После аутентификации  Пользователь/Устройство известны  Доступ только для MAC-адреса устройства прошедшего аутентификацию Выглядит также как и без 802.1X ? “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк. Пользователь: Маша Authenticated Machine: XP-Mary-45 BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
  12. 12. Что случилось дальше ? @ Гудвей-X, ДО появления режима мониторинга… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x в продакшн… Айк Включает 802.1X Я не могу соединиться с сетью. Она говорит что Аутентификация не пройдена и я не знаю что делать, через два часа у меня презентация… Звонки в службу поддержки увеличились на 120% BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
  13. 13. Чего не хватало Айку? Какие уроки мы извлекли?  Некорректно внедренный 802.1x – это система контроля предотвращения доступа - Необходим режим мониторинга - Должен существовать метод анализа удачных и неудачных соединений Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля.  Внедрение 802.1x лучше начинать с: - Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме - Enforcement Mode (Принудительный режим 802.1x) BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
  14. 14. Режим мониторинга Процесс, не просто режим. • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать пользователей/устройства - Задача №1 Pre-AuthC Post-AuthC SWITCHPORT P DH C TFTP 5 KRB E AP SWITCHPORT oL D HC P HT T P TFTP 5 KRB Permit All EA P P HT T oL Permit All Traffic always allowed BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
  15. 15. Принудительный режим Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности Pre-AuthC Post-AuthC SWITCHPORT P DHC P DHC TFTP P HTT 5 KRB E APo SWITCHPORT L BRKSEC-2022 TFTP Permit Some © 2011 Cisco and/or its affiliates. All rights reserved. E AP o SGT P HTT 5 KRB L Cisco Public Role-Based ACL 15
  16. 16. Чего не хватало Айку? Какие уроки мы извлекли?  Отсутствие отчетности со стороны супликанта - Когда все в порядке – пользователь не в курсе. - Но когда все перестает работать… Пользователь видит “Authentication Failed” сообщение и всё. Отсутствие видимости. Только звонок в службу поддержки  Решение: Сторонние супликанты - Cisco’s AnyConnect Supplicant Предоставляет утилиту для репортинга (DART) Детализированные логи с клиентской стороны BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16 1
  17. 17. Чего не хватало Айку? Какие уроки мы извлекли?  Отсутствие видимости на Radius сервере - ACS 4.x BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
  18. 18. Чего не хватало Айку? Какие уроки мы извлекли  Решение: ACS VIEW  Identity Services Engine (ISE) BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18 1
  19. 19. Чего не хватало Айку? Детализация удачных и неудачных попыток доступа в Cisco ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19 1
  20. 20. Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20 2
  21. 21. Чего не хватало Айку? Какие уроки мы извлекли?  Айк забыл об устройствах без поддержки 802.1x - Принтеры, IP Телефоны, Камеры, СКУД  Решение? Не использовать 802.1х на портах с принтерами  Ну а что если устройство переедет ?  Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
  22. 22. Бизнес кейс продолжает изменяться  Требования: 1. Гудвей-X должен быть уверен в том, что только сотрудники Ритейлер-Х получают доступ к сети. - Решения: Идентификация с помощью 802.1X 2. Устройства без поддержки 802.1x должны иметь доступ к сети. - Решение: Централизованный MAB Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка MAB устройств! BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
  23. 23. Решение есть !!! Профилирование
  24. 24. Профилирование Видимость PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть. BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
  25. 25. Как мы классифицируем устройство? Технология профилирования  Профилирование на ISE использует аналоги сигнатуры  Запросы, используемые для сбора данных HTTP SNMP Query SNMP Trap DHCPSPAN DHCP RADIUS DNS BRKSEC-2022 NMAP NetFlow © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 25 25
  26. 26. Политики профилирования Is the MAC Address from Apple DHCP:hostname CONTAINS iPad Profile Library Я вполне уверен что устройство iPAD IP:User-Agent CONTAINS iPad Назначить MAC Address к группе “iPad” Политики профиля используют условия для определения устройства. Политики основаны на принципе наилучшего совпадения BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
  27. 27. Распределенный сбор данных с централизованным анализом Сенсор устройств • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS • Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi • Не зависит от топологии • • • • • • ISE Поддержка сенсора 2960-X, 2960-XR 3560/3750 3560C/CG 3850* 4500 Wireless Controllers • * roadmap CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP Device Sensor Distributed Probes BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
  28. 28. Эволюция бизнес-кейса Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк “Для каждого контрактника в ручную выделяется порт на коммутаторе” Нужно упорядочить и автоматизировать процесс гостевого подключения!
  29. 29. Требования гостевых пользователей WLC Wireless APs Internet LAN Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно ! Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
  30. 30. Cisco ISE Компоненты полного жизненного цикла гостя Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Аутентификация/Авторизация Посредством веб-портала ISE Guests Отчетность: По всем аспектам гостевых учетных записей Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
  31. 31. ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные атрибутов Гостевые роли и профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
  32. 32. Разные гостевые роли Когда требуются разные пользовательские роли Контрактник Гость • Только интернет доступ • Ограниченное время: Половина дня / один день • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
  33. 33. Полный аудит гостевого жизненного цикла Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
  34. 34. Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует чтобы мы разрешили ему доступ в сеть потому как это устройство помогает ему в работе” Айк
  35. 35. Требования к BYOD Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям Зак (Безопасность) •Как ограничить, кто из сотрудников имеет право на BYOD ? •Как защититься в случае потери или увольнения Как избежать утечки ? Айк (IT): • Как поддерживать увеличенное кол-во устройств ? • Кто будет настраивать ? • Кто будет согласовывать с безопасностью ? Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
  36. 36. Что предлагает ISE для управления персональными устройствами Автоматическая настройка множества типов устройств: Занесение устройств в “черный” при хищении, увольнении ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Поддержка всех сетевых подключений Безопасность на основе cертификата привязанного к Employee-ID & Device-IDSE Presentation_ID Самообслуживание персональных устройств для авторизированных сотрудников © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
  37. 37. Подключил в гостевую сеть и ввел доменный логин и пароль Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
  38. 38. Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
  39. 39. Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
  40. 40. Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
  41. 41. Для администраторов и безопасности IT гибкие настройки кому и и какие устройства можно подключать OS Presentation_ID User © 2011 Cisco and/or its affiliates. All rights reserved. Supplicant Cisco Public 41 41
  42. 42. Эволюция бизнес кейса: Mobile Device Management Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк
  43. 43. УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) Контроль использования сетевых ресурсов Классификация/ Профилирование User <-> Device Ownership Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста Регистрация Настройка профилей безопасности устройства Пользователь управляет устройством IT управляет доступом в сеть © 2012 Cisco and/or its affiliates. All rights reserved. Распространение корпоративного ПО Управление (Backup, Remote Wipe, etc.) Соответствие политике (Jailbreak, Pin Lock, etc.) Шифрование данных Инвентаризация Управление затратами Пользователи и IT совместно управляют устройством и доступом Cisco Confidential 43
  44. 44. MDM Manager ISE Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
  45. 45. MDM проверка соответствия  Соответствие на основании: - General Compliant or ! Compliant status OR - Парольная защита вкл. - Macro level Вкл. Шифрование диска Jailbreak устройства Micro level  MDM атрибуты доступны для условий политик  Проверка устройств по базе MDM происходит через определенные промежутки времени. - Presentation_ID Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
  46. 46.  Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство) - Портал мои устройств - ISE Каталог устройств Options • • • • • • • Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Edit Reinstate Lost? Delete Full Wipe Corporate Wipe PIN Lock 46
  47. 47. Эволюция бизнес кейса: Метки безопасности После модернизации сети поменялись IPадреса. Можно как строить политику безопасности без привязки к сетевым адресам и VLAN? Айк Можно ли использовать информацию от ISE для построения политик безопасности на файерволах ? Зак
  48. 48. Применение SGT и SGACL Security Group Tag SGACL SG 1. Когда пользователь/устройство заходит в сеть ему назначается метка безопасности (SGT), которая обозначает его роль 2. Эта метка переносится по всей сети 3. Коммутаторы и межсетевые экраны применяют политику по меткам Security Group Access List SGT Public Private Преимущества Staff Permit Permit Guest Permit Deny  Гибкие политики независимы от топологии и IP-адресации  Метки основаны на роли пользователя и состоянии/типе устройства  Метки значительно уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
  49. 49. Передача меток по сети For Your Reference SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Server #1 10.1.200.50 Nexus 7000 Core VDC 10.1.200.254 Nexus 7000 Agg VDC ASA Finance ✓ VSG Finance Finance Server #1 10.1.200.100 HR Finance Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
  50. 50. Identity-Based Firewall следующего поколения Контроль доступа на основе группы безопасности для ASA Destination Tags Source Tags Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 50 50
  51. 51. Переходим к реальному кейсу Создаем систему из всех этих технологий
  52. 52. TrustSec собирает все воедино TrustSec BYOD SGT NAC Профилирование BRKSEC-2022 MDM MacSec © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
  53. 53. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
  54. 54. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
  55. 55. Вопросы? Канал Cisco Russia & CIS на Youtube Канал TrustSec на Cisco.com http://www.youtube.com/playlist?list=PL59B700EF3A2A945E www.cisco.com/go/trustsec BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
  56. 56. Спасибо !! Thank you. BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 56

×